Operasi Phising PhantomBlu

Serangan phising tak pernah sepi dari gejolak dunia maya, yang terbaru dari kasus ini adalah trik Microsoft Office kirim NetSupport RAT melalui operasi phising PhantomBlu

Operasi phishing baru tersebut menargetkan perusahaan-perusahaan dengan tujuan menyebarkan trojan akses jarak jauh yang disebut NetSupport RAT.

Baca juga: Serangan Phising Microsoft Teams

Perusahaan keamanan siber melacak aktivitas tersebut yang kemudian diketahui memiliki nama Operation PhantomBlu, yang memperkenalkan metode eksploitasi yang berbeda, menyimpang dari mekanisme pengiriman khas NetSupport RAT.

Mereka dengan memanfaatkan manipulasi templat OLE (Object Linking and Embedding), mengeksploitasi templat dokumen Microsoft Office untuk mengeksekusi kode berbahaya sambil menghindari deteksi.

NetSupport RAT adalah cabang berbahaya dari alat desktop jarak jauh sah yang dikenal sebagai NetSupport Manager, yang memungkinkan pelaku melakukan serangkaian tindakan pengumpulan data pada endpoint yang disusupi.

Modus Phising PhantomBlu

Titik awalnya adalah email phishing bertema gaji yang mengaku berasal dari departemen akuntansi dan mendesak penerima untuk membuka dokumen Microsoft Word terlampir untuk melihat “laporan gaji bulanan”.

Analisis lebih dekat terhadap header pesan email – khususnya bidang Return-Path dan Message-ID – menunjukkan bahwa pelaku menggunakan platform pemasaran email sah yang disebut Brevo (sebelumnya Sendinblue) untuk mengirim email.

Dokumen Word, saat dibuka, memerintahkan korban untuk memasukkan kata sandi yang diberikan di badan email dan mengaktifkan pengeditan, diikuti dengan mengklik dua kali ikon printer yang tertanam di dokumen untuk melihat grafik gaji.

Melakukannya akan membuka file arsip ZIP (“Chart20072007.zip”) yang berisi satu file pintasan Windows, yang berfungsi sebagai dropper PowerShell untuk mengambil dan mengeksekusi biner NetSupport RAT dari server jarak jauh.

Dengan menggunakan .docs terenkripsi untuk mengirimkan NetSupport RAT melalui templat OLE dan injeksi templat, PhantomBlu menandai penyimpangan dari TTP konvensional yang umumnya dikaitkan dengan penerapan NetSupport RAT.

Teknik yang diperbarui menunjukkan inovasi PhantomBlu dalam memadukan taktik penghindaran yang canggih dengan social engineering.

Meningkatnya Penyalahgunaan Platform Cloud dan CDN Populer

Perkembangan ini terjadi ketika terungkap bahwa pelaku ancaman semakin banyak menyalahgunakan layanan cloud publik seperti:

Dropbox.
GitHub.
IBM Cloud.
Oracle Cloud Storage.

Platform hosting data Web 3.0 yang dibangun di atas protokol InterPlanetary File System (IPFS) seperti Pinata. untuk menghasilkan URL phising yang sepenuhnya tidak terdeteksi (FUD) menggunakan kit siap pakai.

Tautan FUD tersebut ditawarkan di Telegram oleh vendor bawah tanah seperti:

BulletProofLink.
FUDLINKSHOP.
FUDSENDER.
ONNX.
XPLOITRVERIFIER

Dan di pasaran tautan tersebut mereka tawarkan dengan harga mulai dari $200 per bulan

Sebagai bagian dari model berlangganan. Tautan ini selanjutnya diamankan di balik penghalang antibot untuk menyaring lalu lintas masuk dan menghindari deteksi.

Yang juga melengkapi layanan ini adalah alat seperti HeartSender yang memungkinkan untuk mendistribusikan tautan FUD yang dihasilkan dalam skala besar. Grup Telegram yang terkait dengan HeartSender memiliki hampir 13.000 pelanggan.

FUD Links mewakili langkah selanjutnya dalam phishing-as-a-service dan inovasi penerapan malware. Dan sebagai catatan, para pelaku menggunakan kembali infrastruktur bereputasi tinggi untuk kasus penggunaan yang berbahaya.

Salah satu operasi jahat baru-baru ini, yang memanfaatkan Rhadamanthys Stealer untuk menargetkan sektor minyak dan gas, menggunakan URL tersemat yang mengeksploitasi pengalihan terbuka pada domain yang sah.

Terutama Google Maps dan Google Images. Teknik penyarangan domain ini membuat URL berbahaya kurang terlihat dan lebih mungkin untuk menjebak korban.

Demikian informasi mengenai operasi phising PhantomBlu, semoga informasi yang disajikan dan bermanfaat dan menambah wawasan bagi pembacanya.

Baca lainnya: